La sécurité du PMU passe au Big Data
Lors des dernières Assises de la sécurité, l'opérateur de jeu a expliqué comment il avait pu faire du SIEM Analytics sur de grandes quantités de données, avec la techno LogPoint.
Le PMU enregistre 130 millions de transactions bancaires par mois. Son site compte une dizaine de millions de visites par mois. Son système d'information génère donc une grande quantité de données, qui doivent en plus être correctement stockées et tracées pour répondre à des exigences légales ou de conformité PCI DSS. Dans ce contexte, l'IT et la sécurité sont évidemment fondamentales.
L'enjeu est de taille : en une petite heure, le système du PMU doit gérer 100 contacts entrants au service client, 200 000 paris hippiques, 30 000 mouvements de comptes, 25 000 mains de poker, 2 000 paris sportifs... "Il n'y a tout simplement pas d'arrêt possible, la facture serait trop douloureuse", a expliqué Farid Illikoud, RSSI du PMU, lors d'une présentation donnée lors des dernières Assises de la sécurité. En conséquence, ce responsable a logiquement exprimé son besoin d'une très bonne visibilité. "Si 20% de ce qui se passe m'échappe, j'estime que je ne fais pas correctement mon travail", estime-t-il, admettant dans le même temps que "si le risque zéro n'existe pas, il faut savoir détecter les menaces le plus rapidement possible."
Une exigeante capacité de réaction qui doit s'appuyer sur cette très bonne vue, "à 360°", sur les détails (la donnée elle-même, qui peut être protégée avec bitlocker, ou les DRM), comme sur l'ensemble de la défense périmétrique (via les firewalls) ou la sécurité des applications (Owasp), du middleware, des serveurs, des réseaux... C'est dans ce contexte que le Big Data a pu apporter une solution. C'est plus exactement dans son association avec le SIEM (Security Management & Event Management), c'est-à-dire la gestion des évènements liés à la sécurité, que le traitement des grandes quantités de données, en haute performance, au sein d'un datalake a pu intéresser le PMU.
Tous les outils ne proposent pas de corrélation des logs en temps réel
Scénario redouté et score de risque
Pour résumer, la volonté du PMU était de collecter le maximum de données utiles à la sécurité du SI, et de pouvoir les analyser afin de pouvoir détecter si un scenario redouté et prédéfini était en cours. Les événements devaient être analysés en temps réel, et un score de risque devait être attribué. En tout, avant de se lancer dans le projet, une douzaine d'exigences clés ont été définies par le PMU. La solution à déployer devait évidement pouvoir collecter et centraliser l'ensemble des logs techniques et applicatifs, mais aussi se plier aux exigences réglementaires et pouvoir fournir des preuves dans le cadre d'enquêtes (Forensics). Un connecteur avec le data lake de l'entreprise, lancé en parallèle dans un autre projet de Big Data de plus grande ampleur, devait aussi être présent.
Toutes les solutions évoquées par le Gartner ont été testées : c'est finalement celle de LogPoint, bâtie sur du NoSQL, qui répondait le mieux aux attentes du PMU. "En outre, la corrélation des logs se fait vraiment en temps réel, ce qui n'est pas toujours le cas avec d'autres outils", a pu remarquer le RSSI du PMU. Autre élément qui a plu à Farid Illikoud : "Le prix était prédictible, ce qui, là encore, n'était pas toujours observé chez les autres solutions étudiées".
Le projet doit durer un peu plus d'un an, depuis l'appel d'offres, en janvier 2015, jusqu'à la généralisation de l'utilisation de la solution, prévue en février 2016. Le contrat a été signé en juin dernier, avec la mise en œuvre du premier lot dès septembre. Plusieurs cas d'usage ont été prévus : sécurité bien sûr, mais aussi métrologie et supervision.
Quels sont les conseils que peut donner le RSSI du PMU pour réussir un tel projet ? Il recommande de commencer sur un petit périmètre, pour prendre en main l'outil, et éviter de se faire vite déborder par un trop grand nombre d'alertes. Autre facteur clé du succès, selon ce spécialiste : ne jamais perdre de vue qu'il ne s'agit que d'un outil, et "l'installer ne représente jamais que 10% du travail, il faut ensuite, derrière, qu'il soit pris en main par de bonnes équipes humaines, de sachants".